FloC3FloC3 MemberComments: 513 Received thanks: 13 Member since: October 2017

https://onlinemarketing.de/news/eugh-urteil-opt-in-pflicht-fuer-cookies?utm_source=browser&utm_medium=push-notification&utm_campaign=cleverpush-1569923984

Die Entscheidung des Gerichtshofs ist gefallen: Eine Voreinstellung ist nicht zulässig, wurde in einer Pressemitteilung bekanntgegeben . Das setzen von Cookies erfordert demnach die aktive Einwilligung des Nutzers.

ist Shopware in dieser Sache safe?

«13456

Answers

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Kannst du schon lange im Bereich Datenschutz einstellen, dann kommt ein Popup was dich darauf hinweist, dass der Shop ohne Einwilligung quasi nicht funktioniert.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    Okay, jetzt kommt hier ein Popup.

    Aber müssen nicht eigentlich Links zu Impressum & Datenschutz immer erreichbar klickbar sein? Das klappt bei dem Popup ja so nicht.

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Das ist ja ein Textbaustein, dann pack die halt mit in das Popup.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 Member since: October 2017

    das Popup kommt, wenn man auf "schließen" klickt, ja immer wieder, wenn man durch die Seite navigiert.

     

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Genau, weil du ja nichtmal speichern darfst, dass jemand das Popup weggeklickt hat.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    gut das is natürlich logisch...vergisst man immer wieder ^^

    alles klar, passt! Danke dir für die schnelle Info!

    ps: was, wenn man erst auf "Einverstanden" klickt und nachträglich dann doch widerrufen möchte?

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Ehrlichgesagt würde ich das eher beobachten. Wenn du mit der Lösung arbeiten willst, ist das ein riesiger Conversion Killer. Aktuell ist das eher noch strittig, ob man technisch notwendige Cookies setzen darf oder nicht. Da bedarf es erstmal klarer Europäischer Rechtssprechung.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    deshalb habe ich ja den Link angehängt.

    https://onlinemarketing.de/news/eugh-urteil-opt-in-pflicht-fuer-cookies?utm_source=browser&utm_medium=push-notification&utm_campaign=cleverpush-1569923984

    Der Europäische Gerichtshof entschied über die Pflicht zur aktiven Zustimmung zur Verwendung von Cookies: Eine Voreinstellung ist unzulässig.

    es gibt also scheinbar ein Urteil von heute dazu, dass Opt-In vorschreibt. Natürlich ist das ein Conversion-Killer. Aber bleibt einem wohl nichts anderes übrig.

  • artepartep MemberComments: 3590 Received thanks: 588 Member since: July 2010

    Okay, jetzt kommt hier ein Popup.

    Aber müssen nicht eigentlich Links zu Impressum & Datenschutz immer erreichbar klickbar sein? Das klappt bei dem Popup ja so nicht.

    Also bei mir erscheint trotz Popup der Footer wo man alles anklicken kann. 

  • hthhth MemberComments: 1438 Received thanks: 320 edited October 1 Member since: October 2012

    Vorsicht mit der von @Moritz Naczenski‍ genannten Lösung  Es sind nicht unbedingt alle Plugins damit kompatibel. Diese setzen unter Umständen auch ohne Erlaubnis Cookies. 

    Außerdem muss noch die Frage gelöst werden, welche Cookies im Shop gesetzt werden, damit man über jeden einzelnen samt Gültigkeitsdauer informieren kann. 

  • sonicsonic MemberComments: 2089 Received thanks: 580 edited October 1 Member since: January 2014

    Ich würde da nun noch ein paar Tage ins Land gehen lassen, bis sich die einschlägig bekannten Rechtsanwälte dazu äussern, wie it... oder Solmecke.
    Alles was ich bisher dazu gelesen habe - Heise, T3N, der Link von Flor - ist sehr oberflächlich und unvollständig.

    Nachdem was ich so zwischen den Zeilen gelesen habe, ging es in der Klage um Werbe / Trackingcookies, was aber in den Artikeln "unterschlagen" wird.
    Selbst das EuGH setzt selber "technisch notwendige cookies" ohne Rückfrage Wink

    Man muss wohl begründen, auf welcher Basis man seine Kekse setzt. Demnach sind nach der EPrivacyverordnung "technisch notwendige" Kekse erlaubt. Nach DSGVO wiederum kann man mit "berechtigtem Intersse" auch darüber hinausgehende setzen. Das Problem hier ist, dass Deutschland NICHTS umgesetzt hat, und das TMG gekippt wurde - zumindest der Cookie-Teil.

    Hier sollten wir wirklich auf die "Aufarbeitung" durch die Fachkanzleien warten, somal das Urteil ja auch erst wieder zurück zum BGH geht und für dessen Urteil die Basis ist.

    Edit: Zitat aus Arteps Link

    Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der europäische Gerichtshof eine Pflicht zur Einholung wirksamer Einwilligungen für alle cookie-basierten Personendatenverarbeitungen aufgestellt, die nicht zum Betrieb einer Website oder zur Bereitstellung von deren Grundfunktionen zwingend notwendig sind.

  • artepartep MemberComments: 3590 Received thanks: 588 edited October 1 Member since: July 2010

    Hier auch mal gut nachzulesen: https://www.it-recht-kanzlei.de/www.it-recht-kanzlei.de/faq-einwilligung-cookies.html?fbclid=IwAR0J1q7Ek_O96Awy6RlM8cD11htCKFbLsFeSaFiT_XqqAKk-tHyLFO2NWoI

    Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über einen „OK“-Button wegklicken lassen. In diesen Fällen fehlt es an der Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.

    Denke mal, da haben wir ne Menge zu tun mit der Umsetzung. Undecided

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Wir haben es ja recht einfach gemacht - jeder kann es für seinen Shop selbst entscheiden. 

    Denke "technische Cookies setzen" ist aktuell noch das gängigste und nach meinem Kenntnisstand auch erstmal mit DSGVO/ePrivacy vereinbar. Wenn man dann mehr will, dann gibt es halt den anderen Modus noch.

    Ja, die Plugins müssen sich schon explizit da mit reinhängen, damit das auch für Plugins greift. Wirklich anders kannst du das schon fast nicht realisieren.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    IT Recht Kanzlei:

    Wichtig für die Freiwilligkeit gerade im Internet ist auch, dass die Einwilligung immer spezifisch für jeden einzelnen Verarbeitungsvorgang eingeholt wird. Werden auf einer Website verschiedenste einwilligungspflichtige Dienste eingesetzt, muss die Einwilligung für jeden dieser Dienste einzeln eingeholt werden. Eine Generaleinwilligung für alle Dienste gesammelt wäre unwirksam.

    Wird auf einer Website eine Einwilligungsmaske vorgeschaltet, müssen die einzelnen Verarbeitungsvorgänge für die Einwilligung per Häkchen einzeln auswählbar sein.

    Nach der DSGVO muss jede Einwilligung mit Wirkung für die Zukunft widerrufen werden können.

    nun, das kann Shopware ja zumindest gar nicht. Und ich setze voraus, dass es dazu ein Update geben wird, denn man kann kaum von Kleinshops ohne technische Kenntnisse verlangen, dass sie selbst eine Cookie-Abfrage programmieren...

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Kannst ja gerne ein Ticket zu aufmachen. Wir prüfen solche Dinge ohnehin mit unserem eigenen Rechtsbeistand und oftmals auch TrustedShops. Recht ist auch häufig auslegungssache. Ob das so kommen wird, würde ich daher erstmal in Frage stellen.

    Unabhängig davon, kann auch ein Kunde mit "CSRF Token für Post Requests" nicht wirklich etwas anfangen. Technisch Notwendige Cookies musst du eh zusammenfassen - ohne Session und CSRF kannst du dich nicht einloggen, bestellen, etwas in den Warenkorb legen, ....

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 Member since: October 2017

    Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der europäische Gerichtshof eine Pflicht zur Einholung wirksamer Einwilligungen für alle cookie-basierten Personendatenverarbeitungen aufgestellt, die nicht zum Betrieb einer Website oder zur Bereitstellung von deren Grundfunktionen zwingend notwendig sind. Betroffen von der Einwilligungspflicht sind insbesondere alle cookie-basierten Tracking- und Analysetools, Affiliate-Dienste, Retargeting- und Remarketing-Funktionen und Social-Media-Plugins. Online-Händler, welche derartige Dienste auf ihren Websites nutzen, müssen nunmehr zwingend DSGVO-konforme Einwilligungen für den Einsatz von jedem Seitenbesucher einholen.

    das ist natürlich auch wieder ein Punkt ...

  • kraeft21kraeft21 MemberComments: 54 Received thanks: 3 Member since: August 2015

    Gibt es überhaupt ein Analytics-Plugin/Tag-Manager im Store, welches die Anforderungen erfüllt bzw. mit dem Standard-Cookie-Banner von Shopware zusammenarbeitet und wirklich erst den Google-Code lädt bzw. Google-Cookies setzt, wenn man in dem Banner auf Einverstanden klickt? 

    Ist das Verhalten dokumentiert, bzw. auf welches Event das Plugin horchen muss?

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    das ist eine gute Frage, @kraeft21

    verbreitet ist vermutlich das hier

    .. benutzen zumindest wir für die Einbung des Tag-Managers

    image

  • hthhth MemberComments: 1438 Received thanks: 320 edited October 1 Member since: October 2012

    Gibt es überhaupt ein Analytics-Plugin/Tag-Manager im Store, welches die Anforderungen erfüllt bzw. mit dem Standard-Cookie-Banner von Shopware zusammenarbeitet und wirklich erst den Google-Code lädt bzw. Google-Cookies setzt, wenn man in dem Banner auf Einverstanden klickt? 

    Ist das Verhalten dokumentiert, bzw. auf welches Event das Plugin horchen muss?

    "Google Services"-Plugin  von Shopware in der aktuellsten Plugin Version kann dies. Du musst allerdings immer noch sicherstellen, dass Du über die Speicherdauer der einzelnen GA-Cookies korrekt informierst. Der Text der Cookiebar ist sehr allgemein  gehalten, setzt Du nur Analytics ein, könntest Du den noch anpassen.

    Problematischer sind die Zahlungsplugin(s), die bereits beim ersten Seitenaufruf Cookies setzen, ohne dass Du dies beeinflussen kannst und deren Funktion Du nur aus dem Cookie-Namen erraten kannst.

    Thanked by 1kraeft21
  • kraeft21kraeft21 MemberComments: 54 Received thanks: 3 Member since: August 2015

    Ja eingebundene Bilder und Skripte sind generell so ein Problem. Das Partner-Logo von Idealo ist auch so ein Übeltäter, welcher Analytics-Cookies setzt und die Besucher des Onlineshops analysiert.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    Problematischer sind die Zahlungsplugin(s)

    welche wären das denn? Habe noch nicht gesehen, dass PayPal, Klarna & Co Cookies setzen...

    meinst du das Plugin hier? Das ist ja nicht so gut bewertet...

    @Moritz Naczenski‍ prüft ihr das zeitnah intern mit Trusted Shops und Anwalt?

  • sonicsonic MemberComments: 2089 Received thanks: 580 Member since: January 2014

    Was den "Shop" selber betrifft, sehe ich auch mit dem Urteil noch keine Probleme.
    Aber was Plugins betrifft, könnte es jetzt wirklich kritisch werden. Da denke ich direkt wieder an die Datenpetze "PayPal Unified".  Die per iframe nachgeladenen Buttons setzen ja dutzende Trackingcookies. Und die sind technisch NICHT notwendig. Auch wenn man alle Kekse von PayPal blockiert, funktioniert der checkout. Auch das von "PayPal" angeführte "berechtigtes Interesse" kann nicht greifen, da PayPal gar kein "berechtigtes Interesse" auf fremden Seiten für sich reklamieren kann.
    Also zumindest bei "PayPal" der neuen Generation und auch den AMAZON-Buttons würde ich jetzt aber sowas von hellhörig werden Sticking-out-tongue

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    @sonic‍  aber wenn ich PayPal klassisch einbinde, habe ich ja keine Cookies oder?

    image

    diesen komischen PayPal-Button haben wir nicht drin. Auch kein PayPal Express.

    image

    image

    was die Shop-Funktion angeht, hast du vermutlich recht. Das fällt ja alles unter "technisch für den Betrieb nötig".

    Google Analytics / Tag Manager ist halt katastrophal wenn man das extra angeben und aktivieren muss... das aktiviert doch niemand, und damit ist Tracking quasi fürn  A****

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Also php-seitig funktioniert der Cookie Modus schon so, dass er auch bei Plugins automatisch greift.

    Wenn Daten von einer anderen Seite kommen (iframe, javascript) usw. muss das explizit implementiert werden.

    Werde das die Tage mal durchsprechen

  • sonicsonic MemberComments: 2089 Received thanks: 580 edited October 1 Member since: January 2014

    Kann ich nichts zu sagen, ich habe nach wie vor das alte 3.5.x im Einsatz.
    Wenn aber kein Expresscheckout im Artikel/Listing oder im Warenkorb vorhanden ist, also keine Buttons eingebunden werden, dürfte es OK sein. Einfach mal alle Seiten bis zu Confirm durchgehen und gucken, ob Kekse auftauchen.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 Member since: October 2017

    @sonic‍ ja da hab ich echt keine Cookies so, passt. Aber wären nicht Zahlungsarten eigentlich "technisch für den Betrieb notwendig" ?

    @Moritz Naczenski‍ ist die Frage was ist, wenn man dieses Plugin nutzt? Das bindet halt den Tag-Manager ein ...

  • sonicsonic MemberComments: 2089 Received thanks: 580 edited October 1 Member since: January 2014

    Ja... aber auch nein Sticking-out-tongue
    Man muss da immer gucken, was passiert wann.

    Solange ich eine Zahlungsart nicht verwende (ich = Kunde), besteht technisch keine Notwendigkeit, dass Cookies gesetzt werden.
    Im Fall PayPal ist es technisch nicht notwendig, dass PayPal schon im Listing oder Artikel bei jedem Seitenaufruf Cookies setzt - und javascript nachlädt, auch nicht im Warenkorb (insbesondere in der Canvas Cart,die wird ja auf JEDER Seite geladen - also Tracking durch PayPal, wie Kunde sich im Shop bewegt).

    Es geht schlicht auch ohne, somal an dieser Stelle ja auch nicht feststeht, ob diese Zahlart gewünscht ist. Schon vor dem Urteil war dieses Plugin schon umstritten.
    Warum muss für eine Zahlart ein gesondertes Cookie gesetzt werden? Die Zahlung wird ja nicht im Shop, sondern auf der Seite des Anbieters (Amazon, Stripe, Paypal) abgewickelt. Was DORT passiert, hat dann ja nichts mit meiner Seite zu tun. Die "technische Notwendigkeit" ein Keks zu setzen, nur weil ich einen (Express-)Button einbinden möchte, dürfte im Streitfall schwer zu belegen sein.

    Aber zu meinem Lieblingsplugin "PayPal" gibt es ja hier das Datenpetzen-Thema Wink

    Thanked by 1naturdrogerie
  • dewibdewib MemberComments: 155 Received thanks: 5 Member since: November 2013

    Bei uns mit Shopware 5.5.10, Datenschutz-Einstellungen für den Cookie-Banner "Technisch notwendige Cookies erlauben (Browser-Sitzung, CSRF), restliche nach Erlaubnis setzen", sieht's so aus dass mit dem ersten Aufruf der Seite bereits 35 Cookies geladen werden, bevor man im Cookie-Banner "Ablehnen" oder "Einverstanden" geklickt hat.

    Die meisten davon stammen von PayPal, aber es ist auch Amazon und Facebook dabei (FB-Pixel über dieses Plugin eingebunden) und abmr.net sowie eine Handvoll von unserer eigenen Domain, wobei ich bezweifle dass die alle technisch notwendig sind, weil da auch welche dabei sind die vom Namen auf Amazon oder PayPal Funktionen schließen lassen.

    So wie sich das für uns gerade darstellt ist die Cookie-Einstellung von Shopware alles andere als safe.

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 8106 Received thanks: 2391 Member since: September 2013

    Ja, da müssen sich die Plugins auch alle reinhängen.

    Paypal macht das aktuell denke ich nicht, wie die anderen Plugins das Handhaben, keine Ahnung.

    Es gibt auch keine andere Lösung als die, dass es jedes Plugin selbst machen muss - wir setzen einen Cookie, wenn Cookies erlaubt sind und anhand dessen, kann ein Plugin entscheiden, ob es die eigenen Cookies setzen darf. Gerade Facebook, Amazon und Paypal setzen die Cookies i.d.R. über ein Iframe, heißt hier konkret, man müsste überall die Buttons ausblenden, solange es kein Opt-in gibt. 

    Für Paypal hab ich das mal aufgenommen: https://issues.shopware.com/issues/PT-10873
    Alles andere müsstet ihr den jeweiligen Herstellern melden. Ein Beispiel wie man das umsetzen kann, gibt es ja bspw. bei der aktuellen Version von SwagGoogle.

  • FloC3FloC3 MemberComments: 513 Received thanks: 13 edited October 1 Member since: October 2017

    eigentlich ist das echt ein Supergau wenn das so durchgeht... Drittanbieter-Plugins nutzen ist damit wohl erstmal vom Tisch, außer die Hersteller reagieren alle...

    PayPal nutzen wir wie ich oben beschrieben habe, so gibts auch keine Cookies. Nicht mal im Checkout. Weiterleitung zu PayPal am Ende der Bestellung reicht ja eigentlich aus.

    einzige Sorge die wir haben, ist das Thema Google Analytics und Tag Manager.

    die IT-Recht-Kanzlei schreibt ja das hier:

    1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies

    Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,

    • welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
    • welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
    • welche Funktionen diese Akteure erfüllen

    Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.

    und so eine Funktion hat der Cookie-Layer von Shopware ja gar nicht. Er informiert ja nur, man kann nicht wählen welche Cookies man will und welche nicht.

Sign In or Register to comment.